V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zwgmlr3
V2EX  ›  信息安全

开发用的虚拟机被人入侵

  •  
  •   zwgmlr3 · 2017-09-18 15:10:46 +08:00 · 5105 次点击
    这是一个创建于 2628 天前的主题,其中的信息可能已经有所发展或是发生改变。

    虚拟机系统是 Win Server 2016。

    中午登上远程桌面,发现两个 cmd 窗口在疯狂刷新,懵逼了一秒之后意识到被入侵了。

    登上路由器把端口映射暂时关掉,然后静下心看了一下, 两个窗口分别开了 1024 个线程去扫描外网 ip 是否打开了 3389 端口,并记录到日志中, 别的就看不懂了,给大家参观一下

    留下的文件 ftp://v-ta.com/

    桌面上留下的文件

    第 1 条附言  ·  2017-09-19 08:54:19 +08:00
    被入侵的原因应该是我把 3389 端口映射到外网了,
    系统密码设置的太简单了,Admin123
    本来只是在内网用的。
    11 条回复    2017-10-13 15:34:07 +08:00
    xi4ohz
        1
    xi4ohz  
       2017-09-18 15:28:12 +08:00
    不要慌 是个抓鸡黑客
    goodryb
        2
    goodryb  
       2017-09-18 16:02:58 +08:00
    系统没打补丁吗,怎么会被入侵,看样子你是在公网上开了 3389 端口了把
    aksoft
        3
    aksoft  
       2017-09-18 16:03:54 +08:00
    这个鸡被发现了
    zwgmlr3
        4
    zwgmlr3  
    OP
       2017-09-18 17:40:15 +08:00
    @goodryb 系统没有激活,不过一直在自动更新啊 上周刚重启更新过
    xifangczy
        5
    xifangczy  
       2017-09-18 21:01:17 +08:00
    密码太简单
    wske
        6
    wske  
       2017-09-18 21:11:14 +08:00
    @xifangczy 猫猫是傻叉, 啦啦啦啦啦
    wohenyingyu02
        7
    wohenyingyu02  
       2017-09-18 21:15:30 +08:00 via iPhone
    怎么入侵才可以在你的远程桌面里弹出 cmd 窗口,生怕你发现不了?还是只要弹出 cmd 就是入侵?
    u5f20u98de
        8
    u5f20u98de  
       2017-09-18 21:22:44 +08:00
    搞清楚怎么进来的,下一次才不会被进来。
    不过看桌面的样子是用了 MS17010 啊。
    lekai63
        9
    lekai63  
       2017-09-18 22:14:50 +08:00 via iPhone
    也有可能是使用了盗版含毒软件吧
    我觉得现在操作系统层面的 bug 不容易攻破了,有 0day 的估计也瞧不上我的电脑:)
    何况这么明显的开 cmd 窗口
    jacy
        10
    jacy  
       2017-09-18 23:09:38 +08:00
    我 vultr 上的 2003 直接中加密勒索病毒了
    chifan
        11
    chifan  
       2017-10-13 15:34:07 +08:00
    看应该是鸡客先扫了一波弱口令然后进入你的机器之后再拿你的机器作为服务器当成资源去扫 445
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1031 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 21:29 · PVG 05:29 · LAX 13:29 · JFK 16:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.